25.8. Paramétrage d'un déploiement avec DNS externe et une autorité de certification externe en tant qu'autorité de certification racine

Procédure

1. Ouvrez le fichier d'inventaire pour le modifier. Spécifiez les noms de domaine pleinement qualifiés (FQDN) de l'hôte que vous voulez utiliser comme serveur IdM. Assurez-vous que le site FQDN répond aux critères suivants :

   • Seuls les caractères alphanumériques et les tirets (-) sont autorisés. Les caractères de soulignement, par exemple, ne sont pas autorisés et peuvent entraîner des défaillances du système DNS.
   • Le nom d'hôte doit être en minuscules.
2. Spécifiez les informations relatives au domaine et à la sphère IdM.
3. Assurez-vous que l'option ipaserver_setup_dns est définie sur no ou qu'elle est absente.
4. Spécifiez les mots de passe pour admin et pour Directory Manager. Utilisez Ansible Vault pour stocker le mot de passe, et faites référence au fichier Vault à partir du fichier playbook. Une autre solution, moins sûre, consiste à spécifier les mots de passe directement dans le fichier d'inventaire.

5. (Facultatif) Spécifiez une zone firewalld personnalisée à utiliser par le serveur IdM. Si vous ne définissez pas de zone personnalisée, IdM ajoutera ses services à la zone par défaut firewalld. La zone prédéfinie par défaut est public.

   Important

   La zone firewalld spécifiée doit exister et être permanente.

   Exemple de fichier d'inventaire contenant les informations requises sur le serveur (à l'exception des mots de passe)

   [ipaserver]
   server.idm.example.com
   
   [ipaserver:vars]
   ipaserver_domain=idm.example.com
   ipaserver_realm=IDM.EXAMPLE.COM
   ipaserver_setup_dns=no
   [...]

   Exemple de fichier d'inventaire contenant les informations requises sur le serveur (y compris les mots de passe)

   [ipaserver]
   server.idm.example.com
   
   [ipaserver:vars]
   ipaserver_domain=idm.example.com
   ipaserver_realm=IDM.EXAMPLE.COM
   ipaserver_setup_dns=no
   ipaadmin_password=MySecretPassword123
   ipadm_password=MySecretPassword234
   
   [...]

   Exemple de fichier d'inventaire avec une zone personnalisée firewalld

   [ipaserver]
   server.idm.example.com
   
   [ipaserver:vars]
   ipaserver_domain=idm.example.com
   ipaserver_realm=IDM.EXAMPLE.COM
   ipaserver_setup_dns=no
   ipaadmin_password=MySecretPassword123
   ipadm_password=MySecretPassword234
   ipaserver_firewalld_zone=custom zone
   
   [...]

6. Créez un playbook pour la première étape de l'installation. Saisissez les instructions pour générer la demande de signature de certificat (CSR) et la copier du contrôleur vers le nœud géré.

   ---
   - name: Playbook to configure IPA server Step 1
     hosts: ipaserver
     become: true
     vars_files:
     - playbook_sensitive_data.yml
     vars:
       ipaserver_external_ca: yes
   
     roles:
     - role: ipaserver
       state: present
   
     post_tasks:
     - name: Copy CSR /root/ipa.csr from node to "{{ groups.ipaserver[0] + '-ipa.csr' }}"
       fetch:
         src: /root/ipa.csr
         dest: "{{ groups.ipaserver[0] + '-ipa.csr' }}"
         flat: yes

7. Créez un autre playbook pour la dernière étape de l'installation.

   ---
   - name: Playbook to configure IPA server Step -1
     hosts: ipaserver
     become: true
     vars_files:
     - playbook_sensitive_data.yml
     vars:
       ipaserver_external_cert_files: "/root/chain.crt"
   
     pre_tasks:
     - name: Copy "{{ groups.ipaserver[0] + '-chain.crt' }}" to /root/chain.crt on node
       copy:
         src: "{{ groups.ipaserver[0] + '-chain.crt' }}"
         dest: "/root/chain.crt"
         force: yes
   
     roles:
     - role: ipaserver
       state: present